ollyScript脱壳脚本 for ABC Cryptor(1.0)[-]

最新推荐文章于 2022-08-12 17:05:00 发布
最新推荐文章于 2022-08-12 17:05:00 发布
阅读量512 收藏
点赞数

前言

ABC Cryptor(1.0)[-] 特点 : 可以找到跳到OEP之前的OPCODE, 再F8一次,就可以到达OEP.
这个脚本用来练习搜索特征码.

脱壳脚本

// @file ollyScriptDump_ABC Cryptor(1.0)[-].txt
// @brief ollyScript脱壳脚本 for ABC Cryptor(1.0)[-]
// @note ABC Cryptor(1.0)[-] 特点 : 可以找到跳到OEP之前的OPCODE, 再F8一次,就可以到达OEP.
/**
特征码
0046B0B2    E8 00000000     call    0046B0B7
0046B0B7    C3              retn
*/

// 脚本函数全局变量
var g_IpToOpt // 要进行操作的IP值,先赋值, 再调用函数, 相当于给入参
/** e.g. 
    mov g_IpToOpt, eip
    call fnDispDisasmCmdByEip
*/

var g_vImageBase // ImageBase值, 用于计算ImpREC填写的OEP值
var g_vPeNameDumpTo // 脱壳后的PE名称, 不要加路径, 和被脱壳程序在同一目录

// 脚本主函数需要的变量
var vEIP // eip值
var vEP // EP值
var vESP // ESP值
var vEspValue // [ESP]的值
var vBpAddr_OEP // OEP下断地址
var vTmp

    call fnScriptInit
    eval ">> task begin ..."
    log $RESULT

    GMI eip, MODULEBASE // 得到ImageBase
    mov g_vImageBase, $RESULT
    eval "ImageBase = {g_vImageBase}"
    log $RESULT

    mov vEIP, eip
    GMI eip, ENTRY // 得到EP值
    mov vEP, $RESULT
    eval "EP = {vEP}"
    log $RESULT

    cmp vEP, eip
    je L_UNPACK_BEGIN

    // 报错信息-此脚本必须在EP处开始运行
    eval "error:\r\n脚本需要从EP({vEP})开始运行, 但是EIP = ({eip})\r\n请重新载入程序后, 再运行此脚本"
    msg $RESULT
    jmp L_END

L_UNPACK_BEGIN:
    // findop 用来搜索一句完整的opcode
    // findmem 用来搜索一个内存块数据, 比findop好用
    findmem #E800000000C3#, vEP // 特征码在前, IP在后
    mov vBpAddr_OEP, $RESULT
    cmp vBpAddr_OEP, 0
    je L_FINDOPCODE_FAILED
    add vBpAddr_OEP, 5 // 在ret处下硬件执行断点
    bphws vBpAddr_OEP, "x"
    eob L_BP_PROC
    go

L_FINDOPCODE_FAILED:
    msg "没有找到壳的特征码"
    jmp L_END

L_END:
    eval "<< task end"
    log $RESULT

    ret

// 断点的回调函数
L_BP_PROC:
    eval ">> L_BP_PROC"
    log $RESULT

    mov g_IpToOpt, eip
    call fnDispDisasmCmdByEip

    // 这里要向前走一步的话, 用sto或sti要执行2次
    // 即使取消了EIP上的断点, 也要走2次单步才能过去
    sto
    sto
    mov g_IpToOpt, eip
    call fnDispDisasmCmdByEip

    call fnDumpAndWaitIatfix

    jmp L_END
    ret

fnDispDisasmCmdByEip:
    var _vDisasmCmd

    GCI g_IpToOpt, COMMAND // 得到当前EIP的汇编命令信息, e.g. "call ebp"
    mov _vDisasmCmd, $RESULT

    eval "{g_IpToOpt} {_vDisasmCmd}" // 打印当前反汇编命令
    log $RESULT
    ret

fnScriptInit:
    mov g_vPeNameDumpTo, "dumpByOllyScript.exe"

    LCLR // 清除Script日志窗口内容
    bc * // 清除所有F2断点
    BPHWCALL // 清除所有硬断点
    call fnPrintOllyScriptVersion

    ret

fnPrintOllyScriptVersion:
    eval "ollyScript version = {$VERSION}"
    log $RESULT
    ret

fnDumpAndWaitIatfix:
    var _vTmp
    var _vImpRecOEP // 在ImpREC中填写的OEP值

    // 到达了OEP, 脱壳
    an eip // 分析代码
    cmt eip, "this is OEP" // 在OEP地址处加日志

    // 脱壳
    dpe g_vPeNameDumpTo, eip

    // 脱壳完成, 提示我使用ImpREC进行IAT修复
    mov _vImpRecOEP, eip
    sub _vImpRecOEP, g_vImageBase

    eval "脱壳完成: 请停在此处, 对[{g_vPeNameDumpTo}]进行IAT修复\r\n impREC's OEP = {_vImpRecOEP}"
    mov _vTmp, $RESULT
    log _vTmp
    msg _vTmp
    ret

运行效果

Script Log Window
Address    Message
46B001     $RESULT: ollyScript version = 1.65
46B001     $RESULT: >> task begin ...
46B001     $RESULT: ImageBase = 400000
46B001     $RESULT: EP = 46B001
46B0B7     $RESULT: >> L_BP_PROC
46B0B7     $RESULT: 46B0B7 retn
4271B0     $RESULT: 4271B0 push ebp
4271B0     _vTmp: 脱壳完成: 请停在此处, 对[dumpByOllyScript.exe]进行IAT修复
 impREC's OEP = 271B0
4271B0     $RESULT: << task end
LostSpeed
关注
调试工具----OllyScript脚本专题
qingye
03-04 4814
调试工具----OllyScript脚本专题 32Lite 0.03a OEP Finder v0.1.txt  32LITE 0.03A OEP-FINDER V.0.1.txt  ActiveMark
ollydbg OllyScript插件
12-06
OllyScript is a plug in for OllyDbg (v1.10) which provides a powerfull automation features to the debugger, in a form of an assembly-like language that can be easily picked by people who knew assembly to begin with ;-)
Olly脚本(OllyScript)插件v0.85
01-25
Olly脚本(OllyScript)插件v0.85 安装这个插件-----方可----运行------脚本----破---vmp
ollyScript脱壳脚本 for AHpack(0.1)[-]
谢绝(无视)留言与私信
02-24 1149
前言继续做脱壳练习. AHpack(0.1)[-] 是压缩壳, 手工用ESP定律完成脱壳. 尝试用ollyScript模拟手工脱壳, 试验完成了. 如果是那种步骤比较繁杂的脱壳任务, 用脚本完成脱壳, 那性价比应该蛮高的.记录// @file ollyScriptDump_AHpack(0.1)[-].txt // @brief ollyScript脱壳脚本 for AHpack(
OllyScript脚本练习
谢绝(无视)留言与私信
02-20 2070
前言 今天看脱壳资料, 看人家用OD脚本来干活, 自己也练习下. OD脚本是模拟手工来干活, 只要手工可以F7, F8, 下断点, go等操作. OD脚本都可以模拟. OD脚本学习起来很快, 1天就可以写出有实际功能的脚本了. 如果开始对OD脚本命令不熟, 可能调试花些时间. 记录 做了2个OD脚本练习. * 加法计算器 *一个trace程序流程用的脚本, 如果
OllyScript中文说明-1.65.rtf
07-26
OllyScript中文说明-1.65.rtf
[OllyScript] Themida - Winlicense Ultra Unpacker 1.4
07-18
[OllyScript] Themida - Winlicense Ultra Unpacker 1.4 Themida & WinLicense 2.0 - 2.4.6 脱壳
OllyScript V0.94
03-08
OllyScript 0.94 插件 及 源码
第40章-OllyDbg脚本的编写1
08-03
其次,我们将学习如何编写OllyScript脚本来避免被PELock等反调试技术检测到硬件断点。 知识点1:OllyDbg处理非法指令的bug及修复 在上一章中,我们遇到的情况是,当使用原版OllyDbg加载并运行某些程序(如UnPackMe_...
脱壳脚本 Scripts
05-12
包含多种的脱壳脚本,有需要的可以下...
Themida - Winlicense Ultra Unpacker 1.4.rar
12-31
老外大神 脱 Themida 强壳 要用到的脚本 Themida - Winlicense Ultra Unpacker 1.4
Themida - Winlicense Ultra Unpacker 1.4.rar_C7X_Unpack_WinLicens
07-14
Themida Unpack Script 2
Themida/WinLicense自动脱壳
05-17
Themida/WinLicense 自动脱壳
Themida Winlicense不用修复VM_OEP脱壳教程.rar
03-28
Themida Winlicense脱壳教程 视频 TMD/WL入口点查找方法 1. .text段下内存写入断点,shift+F9,取消内存断点. 2. bp GetProcessHeap+C,F9,取消断点. 3. .text段下F2断点,F9到oep或者oep的第一个call里面的位置. 这里补充下,去OEP的思路,壳先填充数据,然后填充IAT,然后开始模拟OEP代码,这样下去的. 这是我自己总结的经验,我们先到OEP去看看,这里大家熟悉吧,Delphi 第一个call里面的内容,我不说这么来的了,这个以前很多教程说过,可以搜索下,吾爱有很多.我们看下IAT的情况,IAT被变形了,为了节省时间可以直接用UIF修复IAT。我们现在先修复下IAT,然后Dump一份修复IAT保存下来,IAT修复好了,我们来Dump,入口点我们先修复成这个第一个call的地方.好,dump修复完了,下面就开始关键了,我们继续F8走
Themida & WinLicen 系列脱壳脚本【新】
05-07
Themida & WinLicen 1.1.X - 1.8.X 系列脱壳脚本.osc Themida & WinLicen 1.9.1 - 1.9.5 系列脱壳脚本.osc ThemidaScript.for.V1.9.10+.0.4.By.fxyang.oSc THEMIDA脚本(for IAT restore).osc TMDScript-1.9.1+_1.0 final_修正集成版.osc Themida脱壳脚本增强版.osc TMDScript-1.9.1+_1.0final.osc TMDScript-1.9.1+_private_0.7.osc TMD版本查询.osc tmd全系列iat修复.osc
LyScript 插件实现UPX脱壳
CSDN
08-12 7408
LyScript插件提供了对压缩壳的快速脱壳操作的功能。目前,LyScript插件支持两种脱壳方式,以帮助用户有效地解压被壳保护的程序。这两种脱壳方式使得用户能够根据实际情况选择最合适的方法来解压被壳保护的程序。无论是通过自己编写脱壳过程还是加载现有的脱壳脚本,LyScript插件都为用户提供了强大的工具和功能,以简化和加速脱壳操作的过程。
按键精灵取出文件格式
Marble Race
01-11 1099
按键精灵取出文件格式 // 按键精灵取出文件格式 filename = "123.567.pPtX" startPos = InStrRev(filename, ".") + 1 getNum = Len(filename) - startPos + 1 format = LCase(Mid(filename, startPos, getNum)) TracePrint format
Ollydbg异常处理设置项
lixiangminghate的专栏
02-19 4750
打开ollydbg点击"选项"-"Debugging options"-"Exceptions"用于设置异常出现时od的默认处理行为。 windows异常机制中对异常的处理为:第一次异常处理过程中,先寻找调试器,如果调试器能处理异常,则结束异常处理流程,否则将异常交由程序的VEH/SEH机制处理;如果程序处理了异常,则结束异常处理,否则,windows进行第二次异常处理过程。"Ignore (p...
转载 关于两个壳VMP 和TMD
zimengmeng131的博客
05-11 4855
学了两课,膨胀的找了个两个软件,一个vmp壳一个Themida & WinLicense 2.0 - 2.4.6。老实了。以下为转载,目前看不懂完全。 总结vmp壳基础原理,大牛不要喷啊! 1.与传统的加壳工具不同,不是简单的把目标进行压缩、内存解压运行,而是修改目标源码,让目标的部分指令在vmp创建的虚拟环境下运行,虚拟环境中无操作数比较指令、条件跳转和无条件跳转指令; 2.被修...
ODbgScriptOllyScript脚本语言详解及示例
"ODbgScript脚本是一种基于OllyScript语言的工具,用于控制ODbg(Olly Debugger)的脚本执行。它采用类似于汇编的语法,支持多种数据类型和操作,包括十六进制和十进制常数、变量、寄存器、内存地址、标志位、字符串...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值